最近时间比较紧张,没时间一口气看完文献,只能看一点就记录一点了。
引言
- 入侵检测系统应当包涵以下组件:
- 事件产生器:按照给定的粒度,收集系统中发生的事件,提供给事件分析器和事件数据库。
- 事件分析器
- 响应单元
- 事件数据库
- 本文主要着眼于事件产生器这一环节。
- 常见的事件产生器所使用的数据结构一般为“日志序列”,但这种结构能提供的“日志关联性”信息较少,且具有强顺序约束、不抗混淆等缺点。
- 但如果以图 ( Graph ) 作为事件数据的载体,就能够有效缓解上述的各种缺点。(文章在这里提到了另一篇文献中的“起源图 ( provenance graph ) ”数据结构,后续可以看一下相关文献)。
- 本文主要贡献:
- 提出系统日志对象链接图和将日志序列转化为该图的方法;
- 提出在系统日志对象链接图(多重有向属性图)中的顶点寻找向量形式嵌入表示的编码方法;
- 提出在上述嵌入表示的向量空间内建立多阶状态转移和异常检测模型,以描述系统内进程行为基线;
- 提出一种异常评分机制,在上述异常行为基线的基础上,通过计算相对于基线的偏离成都进行入侵检测。
- 我的理解:
- 作者所提出的数据结构是一个有向图,图的每个顶点分别代表一个进程(也可能是代表一个系统日志),顶点之间的有向边则代表了进程(或系统日志)之间的某种联系(具体怎么定义这种联系,还需要看后文;
- 作者还提出了一种embedding的方法,将不同的进程(或系统日志)编码为向量,作为有向图中顶点的_属性_;
- 至于所提到的_多阶状态转移和异常检测模型_以及_异常检测评分机制_,还需要看后文。